雑草魂 – ページ 14 – 雑草エンジニアの生き残りキロク

splunkでCiscoのACLのログをウォッチする

2015-09-292015-09-29 oyageng

せっかくSplunk入れていて, あんまし有用なログが取れない自宅の環境で, なんかみたいな～とおもい, CiscoのL3にACLきってSyslogに吐き出させて, アクセス先を見てみることにした。

やることは簡単。

1. ACLを書く@IOS

2. Data Inputにて

読み込むログファイルを指定する@Splunk

以上。

ほんとこれだけでいけるのだから簡単。

こんな感じで見れておもろい

ただ, ちょっと躓いたところがあったのでメモ。

1．プロトコルレベルで見たいなら, ACLはちゃんとIOSがポート番号までチェックするように記述すべし。

ただ単に,

ip access-list extended ToInternet
permit ip any any log
!

なんて書くと, Syslog上にTCPのポート番号が載らなくて, Splunkではサービスまで掘り下げられない。
たぶん, ルールにTCPのポート番号まで記載がないとチェックしないんだと思う。このままだとSyslog上はポート番号「0」(送信元／宛先共に)でのってしまってIPだけしか解析できない。

なので

ip access-list extended ToInternet
permit tcp any eq 0 any
permit ip any any log
!

とするなどしてACL上TCPのポート番号も見るようにしないと意図した結果を得られない。

【OwnCloud】アドレス変更のときのメモ

2015-09-082015-09-08 oyageng

プロバイダを変えた影響を受け, LAN内に複数セグメントを持つことができなくなった。
そのおかげでESXのセグメントも致し方なく変更せざるを得なくなり, サーバのIPアドレスを変えるハメになった。OwnCloudで次の設定変えないとWEB画面へのアクセスで拒否られる。(TrustedDomainの設定でIP直書きしているので)

/var/www/html/owncloud/config/config.php

・・・・・
‘trusted_domains’ =>
array (
0 => ‘192.168.x.x‘,
1 => ‘globalIPAddress‘,),
),
・・・・・

前回のプロバイダはDynamicDHCPといいながらも割り当てられたグローバルIPアドレスは3年間変わることはなかった。

今回はどうだか分からんが, そうなることを期待してグローバルからもアクセス出来る前提で設定は残しておく。

EtherChannelをShutdownするとき

2015-08-212015-08-21 oyageng

今更EhterChannelのインタフェースをShutかけたりするときの動きがあいまいになったから今一度整理した。 G0/1とG0/2でChannelGroup1で束ねるとする。設定をひと通り終るとこうなる。

■1．正常状態

G0/1	G0/2	Po1
up	up	up

ここで論理IFであるPo1をShutかけると, Po1に引きずられて束ねられている物理IFもShut状態になる。Config上もShutdownが入る。

■2． Po1をShutすると

G0/1	G0/2	Po1
shut	shut	up → shut

さらに, この状態から物理IFのどちらか一方に「no shut」すると, Po1もUPになる。

■3-1． G0/1にno shut

G0/1	G0/2	Po1
shut → up	shut	up

■3-2． G0/2にno shut

G0/1	G0/2	Po1
shhut	shut → up	up

Po1をShutした状態(2)からno shutかけると, 物理IFも(全て)no shutになる(upになる)。

■4． Po1をno shut

G0/1	G0/2	Po1
up	up	shut →up

唯一論理IFに物理IFが引きずられないケースがこれ。
論理IFを触らず, 物理IFだけをshutした場合。

■5．物理IFがShut状態

G0/1	G0/2	Po1
shut	shut	down

このときはPo1はshutではなく, downの状態。

なので, この時にPo1にno shutとかしてもダメ。

ただし, この状態でPo1にshut→no shutとすると, ■4の状態に該当するため物理IFもupとなる。

まぁ, あまり気にしなくてもいいのかもしれないけどね。とりあえずこんな動きしまっせと。

mode pvst

2015-07-292015-07-29 oyageng

Cisco IOS 15.1SYではSTPのモードで PVSTがサポートされなくなっていた。
もうRSTPで下位互換だからいいってことなのかしらね。

15.1SY リリースノート

でも, 結構現場は混乱するから統一してほしいなー.
37XXや2960系はまだいけるんでしょ?

【Cisco】無線LANの構成～その後～

2015-07-272015-07-27 oyageng

今日の休みをつかってやっと設定できた。

一応できはたが, 結局複数のSSIDに対して同一のVLANを設定することができないということで, 諦めた。

しかしまぁとりあえずやり方をメモしとく。

構成のイメージ。

SW側のサブIFとAP側のサブIFに同一のVLANを割り当てる。
VLAN1 にBridgeGroup10, VLAN2にBridgeGroup1を割り当てる。(今回はVLAN2をNativeにしたかったから。)

interface GigabitEthernet0.1
encapsulation dot1Q 1
no ip route-cache
bridge-group 10
no bridge-group 10 source-learning
bridge-group 10 spanning-disabled
!
interface GigabitEthernet0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
!

無線インタフェースにサブインタフェースを作成。

interface Dot11Radio0.1
encapsulation dot1Q 1
no ip route-cache
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
bridge-group 10 spanning-disabledn !
interface Dot11Radio0.2
encapsulation dot1Q 2 native
no ip route-cache
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!

SSIDにVLANを割り当てる。

!
dot11 ssid ***

vlan 1

結果, ここで躓いた。

イチイチSSIDごとにセグメント作るのもアレだから今回はもういいやと。

んーーーなんかうまい方法ないかな。

【Cisco】無線LANの構成

2015-07-132015-07-13 oyageng

家の無線LANにDMZ用のセグメントを入れることにした。

具体的にはこんな感じ。

スイッチ側はトランクにして, AP側にはサブインタフェース作ってVLAN割り当ててBridgeつくってSSID割り当ててと。

Configはこれからちょっと考えるか・・・。

【CiscoISR】初期設定

2015-05-212015-05-21 oyageng

ISRだと初回起動時にユーザ名とパスワードを変えるようにアラートメッセージがでるんだな。

そんなの初めて！！！だったから無視してIOSのバージョンアップして再起動かけたらログインできんなくなった・・・。

パスワードリカバリ手順に則ってやり直して, ユーザ名とパスワードを変えて, 面倒な手順を踏む羽目になった。

ここのページ「Ciscoルータ－はじめての起動」によるとerase startup-connfigで昔ながらの手順に戻せるらしいが, まぁ, これやって工場出荷時に戻すよりは素直にパスワード設定してもいいのではなかろうか。

というか, この設定, いらなくね？
キッティング時の手間が増えるだけなんだが・・・。

【ESX】 6.0.0へUpgrade

2015-05-142015-05-14 oyageng

とりあえず6.0が出たのでアップグレードした。

たしか6.0からvCenterをまたいでのvMortionができるんだっけ?
そんなんないから関係ないけど。

rufusってツールをつかってUSBブータブルを作っては見たものの我が家のPCではうまく起動せず。
結局DVD-Rにisoを焼いてポータブルDVDで起動した。

アップグレード時, NICがサポートされていないぞとメッセージが出たが, ここのサポートページをみて, まぁなんか行けるんじゃね？って判断して続行しました。

E1000のNICは6.0ではサポートしなくなるそうだが, うちのは今回は無事に動いたようですw
VMも特に問題なく動いたのでアップデートは無事に完了。
vSphere Clientも6.0にして完了!

にしても次のアップデートが怖いわ。NIC買い換えるのもアレだしなぁ。

【splunk】HTTPS化

2015-05-102015-05-10 oyageng

簡単。

WEB UIから

Setting → Server Settings → General settings の

「Enable SSL(HTTPS) in SplunkWeb ?」

を Yes にするだけ。

あとは

# splunk restart

でサーバ再起動。

FirewaldとかSELinuxあたりは調整済みとして。

家ではあまりいじれなかったから外から繋ぎたいという理由でHTTPSにした。

逆にHTTPでは繋がらなくなったがね。

【Splunk】Ciscoのログ設定(昨日のつづき)

2015-05-082015-05-08 oyageng

できました。

一度やり直した。

というか, データのSource TypeをSyslogにしたらいけた。

あとはACLのログを吐き出してしばし様子を見るか。
アクセス解析がちょっと楽しみだ。

そういえばサーバ起動時にSplunkが立ち上がらなかったからコレやっといた。

# splunk enable boot-start

あとはTwitterのログをとるといった記事を見かけたから今度やってみるかな。

GoogleAdsence